Bash安全漏洞 威脅恐比“心髒流血”更大，速度update！

    據國外媒體報道，網絡安全專家周三警告稱，開源軟體Linux中一個頻繁使用的片段“Bash”，最近發現存在安全漏洞，其對計算機使用者造成的威脅可能要超過今年4月爆出的“心髒出血”(Heartbleed)漏洞。

    Bash是用于控制Linux計算機指令提示符的軟體。網絡安全專家表示，黑客可以利用Bash中的一個安全漏洞，對目标計算機系統進行完全控制。

    網絡安全公司Trail of Bits的首席執行官丹·吉多(Dan Guido)指出：“與Heartbleed”相比，後者隻允許黑客窺探計算機，但不會讓黑客獲得計算機的控制權。”

    他說：“利用Bash漏洞的方法也簡單得多，你可以直接剪切和粘貼一行軟體代碼，就能取得很好的效果。”

    吉多還表示，他正考慮将自己公司非必要的伺服器斷網，以保護他們不會受到Bash漏洞的攻擊，直到他能夠修補這一漏洞為止。

    網絡安全公司Rapid7的工程經理托德·比爾茲利（Tod Beardsley）則警告稱，Bash漏洞的嚴重程度被評為10級，意味着它具有最大的影響力，而其利用的難度被評為“低”級，意味着黑客比較容易地利用其發動網絡攻擊。

    比爾茲利稱：“利用這個漏洞，攻擊者可能會接管計算機的整個作業系統，得以通路機密資訊，并對系統進行更改等等。任何人的計算機系統，如果使用了Bash軟體，都需要立即打上更新檔。”

    “Heartbleed”是開源加密軟體OpenSSL中的一個安全漏洞，于今年4月被發現。由于全球三分之二的網站使用了OpenSSL，“Heartbleed”漏洞讓數千萬人的資料處于危險狀态。這也迫使數十家科技公司釋出安全更新檔，以堵塞數百種使用了OpenSSL的産品中存在的安全漏洞。

    對于使用RedHat和CentOS系統的使用者來說，修複這個漏洞很簡單：

    速度更新bash版本到最新的bash.x86_64 0:4.1.2-15.el6_5.2！

# yum clean all
# yum makecache 
# yum update bash-4.1.2-15.el6_5.2   ###官方9月26号已經釋出最新的5.2，24号釋出的5.1已經确認仍然有安全漏洞！      

    大家也可以在自己的機器上執行這個指令測試下是否存在bash漏洞。（針對沒更新到5.1版本前）

env t='() { :;}; echo You are vulnerable.' bash -c "true"      

   下面對比下更新過bash版本的機器和沒更新過bash版本的機器執行測試指令後的結果！

     沒有更新bash版本的機器：

[root@www ~]# env t='() { :;}; echo You are vulnerable.' bash -c "true"
You are vulnerable.      

    更新bash到bash.x86_64 0:4.1.2-15.el6_5.1後測試：

[root@www ~]# env t='() { :;}; echo You are vulnerable.' bash -c "true"
bash: warning: t: ignoring function definition attempt
bash: error importing function definition for `t'
[root@www ~]# /sbin/ldconfig
[root@www ~]# rpm -qa bash
bash-4.1.2-15.el6_5.1.x86_64      

    大家可以參考下紅帽官方給出的連結：

     https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/

     https://access.redhat.com/solutions/1207723

     http://lists.centos.org/pipermail/centos/2014-September/146099.html

    PS：雖然各個廠家都對系統的bash版本進行了一定的版本更新，但是谷歌安全研究員塔維斯·奧曼迪(Tavis Ormandy)在Twitter上表示，Linux系統提供商推出的更新檔似乎“并不完整”，這引發了幾位安全專家的擔憂。

        專家的擔心果然不是空穴來風，在2014年9月24日釋出bash.x86_64 0:4.1.2-15.el6_5.1後，2014年9月26日已經釋出了最新版bash.x86_64 0:4.1.2-15.el6_5.2，本文原本是針對5.1寫的，請大家速度更新到5.2！

        https://access.redhat.com/security/cve/CVE-2014-6271

        https://access.redhat.com/articles/1200223

# yum update bash-4.1.2-15.el6_5.2      

Ubuntu 使用者可以通過如下指令打更新檔：  

# apt-get update

# apt-get install bash

2014年9月24号最新5.1版本測試：

[root@xlogin ~]# env -i  X='() { (a)=>\' bash -c 'echo date'; cat echo
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
Fri Sep 26 12:12:11 CST 2014      

[root@xlogin ~]# env -i  X='() { (a)=>\' bash -c 'echo date'; cat echo 
date                           ###更新為5.2版本後，顯示date即為正常！！！
Fri Sep 26 12:12:11 CST 2014